بعد أن نشر أحد الباحثين الأمنيين سلسلة من الأخطاء في منتجات مايكروسوفت بالإضافة إلى تعليمات برمجية لاستغلالها، تهدد الشركة باتخاذ إجراءات قانونية واستدعاء الشرطة. يؤدي تهديد مايكروسوفت المستتر إلى إشعال نزاع طويل الأمد حول مقدار المسؤولية، إن وجدت، التي يجب أن يتحملها الباحثون الأمنيون للكشف عن نقاط الضعف الأمنية لدى عمالقة التكنولوجيا الكبار والأثرياء.
يوم الاربعاء مايكروسوفت نشرت إدخال بلوق منتقدًا الباحث الذي يحمل الاسم المستعار “Nightmare Eclipse”، لكشفه علنًا عن عدد من الأخطاء، منها المطرقة الزرقاء, الأحد الأحمر لا تدافعو المفتاح الأصفر. أثرت الأخطاء على منتجات مثل محرك مكافحة الفيروسات Defender المدمج في Windows وأداة تشفير القرص BitLocker.
جوهر شكاوى مايكروسوفت هو أن الباحث لم يقم بأي محاولة للإبلاغ عن الأخطاء حتى تتمكن الشركة من إصلاحها. وهذا من شأنه أن يكون “الشيء المسؤول”، كما قالت مدونة مايكروسوفت. الجانب الآخر من حجة الشركة هو أنه من خلال نشر تفاصيل الأخطاء وكيفية استغلالها قبل تصحيحها، كان من الممكن أن يساعد Nightmare Eclipse المتسللين الضارين. وفقًا لمايكروسوفت ووكالة الأمن السيبراني الأمريكية CISA، فإن بعض نقاط الضعف التي كشفها Nightmare Eclipse قد تم استغلالها بالفعل من قبل المتسللين في هجمات حقيقية.
وكتبت مايكروسوفت: “ستواصل وحدة الجرائم الرقمية لدينا متابعة الملاحقات الجنائية ضد هذه الكيانات وأولئك الذين يمكّنون أنشطتها الإجرامية، بالتنسيق مع وكالات إنفاذ القانون في جميع أنحاء العالم حسب الضرورة”. (تتمثل مهمة وحدة الجرائم الرقمية في Microsoft في حماية الشركة من خلال مجموعة متنوعة من الاستراتيجيات، بما في ذلك “الإجراءات القانونية المدنية، والعلاجات الفنية، والإبلاغ الجنائي، والشراكات بين القطاعين العام والخاص” وفقا لموقعه على الانترنت).
في سلسلة بلوق نُشر خلال الأسابيع القليلة الماضية – دون تقديم الكثير من التفاصيل – ادعى Nightmare Eclipse أنه اتصل بشركة Microsoft، لكن الشركة أساءت معاملته، بما في ذلك إلغاء الوصول إلى حساب Microsoft Security Response Center الخاص به، وهي بوابة يمكن للباحثين من خلالها الإبلاغ عن نقاط الضعف إلى عملاق التكنولوجيا. أوضح Nightmare Eclipse أنه لم يكن أمامهم خيار سوى نشر الثغرات الأمنية، وهو ما يعني بشكل أساسي أنها كانت في تلك المرحلة صفر يومًا، وهو مصطلح محدد للثغرات غير المعروفة لمطور البرنامج المتأثر في وقت الكشف عنها أو استغلالها.
قام الباحثون بنشر الأخطاء في مستودعات مفتوحة المصدر جيثب (خاصية مايكروسوفت) ط جيتلاب. وقد تم حظر حسابات الباحثين على هذه المنصات.
ولم يستجب Nightmare Eclipse وMicrosoft لطلب التعليق.
ويحذر خبراء الأمن السيبراني من التأثير الرادع
تحيي هذه المناقشة العامة نقاشًا طويل الأمد وما زال مثيرًا للجدل إلى حد ما: هل يتحمل الباحثون الأمنيون المستقلون مسؤولية ضمان إصلاح نقاط الضعف التي يجدونها؟ إلى أي مدى يجب أن يذهبوا لضمان قيام الشركات التي تكون منتجاتها معرضة للخطر بإصلاحها بالفعل؟
أحد أجزاء هذا النقاش الذي تم حله بالكامل والاعتراف به على نطاق واسع هو أن الباحثين يستحقون أن يحصلوا على أجر مقابل عملهم. وفي حين أن هذا قد يبدو واضحا في أيامنا هذه، إلا أنه استغرق سنوات من النضال، والذي تم تجسيده جزئيا في حملة أطلقت في عام 2009 بعنوانلا مزيد من الأخطاء المجانية“بعد ما يقرب من 20 عامًا، تدفع معظم الشركات الكبيرة والصغيرة للباحثين الذين يكشفون عن الأخطاء بشكل خاص وينسقون نشر تفاصيلها بمجرد إصلاحها بمكافآت مالية تصل إلى ستة أرقام أو أكثر.
ردًا على جدل Nightmare Eclipse الأخير، عدد لا يحصى من الباحثين شاركوا تجاربهم السيئة من خلال الإبلاغ عن الأخطاء إلى Microsoft. من الآمن أن نقول إن الكثير من مجتمع الأمن السيبراني غير راضٍ بشكل واضح عن الطريقة التي تتعامل بها Microsoft مع هذه المشكلة. وهذا يشمل خبراء الأمن السيبراني مثل مؤسسة Luta Security Katie Moussouris، التي كانت رائدة في مجال مكافآت الأخطاء أثناء العمل في Microsoft في منتصف وأواخر العقد الأول من القرن الحادي والعشرين وأقنعت عملاق التكنولوجيا بالابتعاد عن مفهوم “الكشف المسؤول” ووضعه بدلاً من ذلك على أنه “الكشف المنسق عن المعلومات“
وقال موسوريس لـ TechCrunch، في إشارة إلى منشور مدونة Microsoft: “إن استدعاء مصطلح الكشف” المسؤول “كان التحذير الأول في كتابي”. وأضاف: “إضافة التهديد بالملاحقة القضائية بذكر (وحدة الجرائم الرقمية) مبالغة ولن تؤدي إلا إلى فقدان الباحثين الأمنيين الثقة في مايكروسوفت”.
وحذر موسوريس من أن العواقب المترتبة على فقدان الباحثين الأمنيين الثقة في مايكروسوفت يمكن أن يكون لها تأثير مروع في شكل عدد أقل من الأشخاص الذين يبلغون عن الأخطاء، “مما يجعلها أقل أمانًا لنا جميعًا”.
الباحث الأمني والموظف السابق في مايكروسوفت كيفن بوومونت كما أشار أيضًا إلى Microsoft في منشور المدونةواصفاً موقف الشركة بأنه “حريق قمامة ذاتي”.
“… أصبح الآن تطوير إثبات المفهوم وتوزيع برمجيات إكسبلويت بمثابة “نشاط إجرامي”؟” كتب بومونت. “يهدف الكشف المسؤول في كثير من الأحيان إلى حماية مالك المنتج، وليس العميل – واستخدامه لمقاضاة الآخرين جنائيًا هو مستوى جديد.”
عندما تقوم بالشراء من خلال الروابط الموجودة في مقالاتنا، قد نكسب عمولة صغيرة. وهذا لا يؤثر على استقلالنا التحريري.
